首頁>社情·民意>你言我語 你言我語
國外“白帽子”如何免責(zé)
實際上,國內(nèi)外都有大量的數(shù)據(jù)泄露安全事件發(fā)生。只不過,一方面,知曉漏洞曝光或數(shù)據(jù)泄露需要用戶本身具有一定的技術(shù)能力,另一方面,是否采取法律行動需要相應(yīng)法律能力和成本。黃道麗表示,目前“白帽子”單純因為漏洞挖掘被立案的新聞并不多,但并不表示違反法律的挖掘行為沒有或較少發(fā)生。如何通過法律規(guī)范“白帽子”行為,成為一項值得研究的重要課題。
從各國法律來看,對于挖掘安全漏洞的行為,一般會根據(jù)主體與行為動機規(guī)定不同的法律后果。比如美國,早在1998年《數(shù)字千年版權(quán)法》中就規(guī)定了安全測試(包括“白帽子”)的界限:安全漏洞信息的獲取和利用,僅以保障被測試計算機系統(tǒng)的所有人或運營人的安全為目的。
對于“白帽子”等團隊或個人合法獲取的漏洞信息,美國《網(wǎng)絡(luò)安全法》還規(guī)定了未取得廠商授權(quán)時的披露規(guī)則:首先,披露者應(yīng)采取適當(dāng)措施,保護所掌握的漏洞信息;其次,披露時應(yīng)當(dāng)去除可以用于識別特定人的信息;第三,不得使用漏洞信息獲得不公平的競爭優(yōu)勢。同時,“白帽子”可以以“善意辯護”豁免挖掘漏洞的法律責(zé)任。
在漏洞檢測和披露問題上,11月7日剛剛公布的《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定:“開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險評估等活動,向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息,應(yīng)當(dāng)遵守國家有關(guān)規(guī)定?!秉S道麗表示,網(wǎng)絡(luò)安全法的出臺,為可能涉及民間自發(fā)的漏洞挖掘和公布內(nèi)容的下位法的制定做了鋪墊。
編輯:梁霄